Planejando permissões de modelo de certificado para os perfis de certificado no Configuration Manager
Aplica-se a: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
.jpeg "System_CAPS_note"){kind=icon} Observação |
|---|
As informações neste tópico aplicam-se somente às versões do System Center 2012 R2 Configuration Manager. |
As informações a seguir podem ajudá-lo a planejar como configurar permissões para os modelos de certificado que o System Center 2012 Configuration Manager usa quando você implanta perfis de certificado.
Considerações e permissões de segurança padrão
As permissões de segurança padrão necessárias para os modelos de certificado que o Gerenciador de Configurações usará ao solicitar certificados para os usuários e dispositivos são as seguintes:
Leitura e Registro para a conta usada pelo pool de aplicativos do Serviço de Registro de Dispositivo de Rede
Leitura para a conta que executa o console do Gerenciador de Configurações
Para obter mais informações sobre estas permissões de segurança, veja Etapa 1: instalar e configurar o Serviço de Registro de Dispositivo de Rede e as dependências em Configurando perfis de certificado no Configuration Manager.
Quando você utiliza essa configuração padrão, os usuários e os dispositivos não podem solicitar diretamente certificados dos modelos de certificado, e todas as solicitações devem ser iniciadas pelo Serviço de Registro de Dispositivo de Rede. Essa é uma restrição importante, pois esses modelos de certificado devem ser configurados com Fornecer na solicitação para a Entidade do certificado, o que significa que existe um risco de representação se um usuário não autorizado ou um dispositivo comprometido solicitar um certificado. Na configuração padrão, o Serviço de Registro de Dispositivo de Rede deve iniciar essa solicitação. No entanto, esse risco de representação permanece se o serviço que executa o Serviço de Registro de Dispositivo de Rede está comprometido. Para evitar esse risco, siga todas as práticas recomendadas de segurança para o Serviço de Registro de Dispositivo de Rede e o computador que executa esse serviço de função.
Se as permissões de segurança padrão não atenderem a seus requisitos de negócios, você terá outra opção para configurar as permissões de segurança nos modelos de certificado: Você poderá adicionar permissões de Leitura e Registro para usuários e computadores.
Adicionando permissões de Leitura e Registro para usuários e computadores
Este procedimento poderá ser adequado se uma equipe diferente gerenciar sua equipe de infraestrutura de AC (autoridade de certificação) e desejar que o Gerenciador de Configurações verifique se os usuários têm uma conta válida dos Serviços de Domínio Active Directory antes de enviar a eles um perfil de certificado para solicitar um certificado de usuário. Para essa configuração, você deve especificar um ou mais grupos de segurança que contenham os usuários e conceder a esses grupos permissões de Leitura e Registro nos modelos de certificado. Nesse cenário, o administrador de autoridade de certificação gerencia o controle de segurança.
Da mesma forma, você pode especificar um ou mais grupos que contenham contas de computador e conceder a esses grupos permissões de Leitura e Registro nos modelos de certificado. Se você implantar um perfil de certificado de computador em um computador que seja membro do domínio, a conta desse computador deverá receber permissões de Leitura e Registro. Essas permissões não serão necessárias se o computador não for membro do domínio, por exemplo, se ele for um computador de grupo de trabalho ou um dispositivo móvel pessoal.
Embora essa configuração use um controle de segurança adicional, ela não é uma prática recomendada. O motivo disso é que os usuários ou os proprietários especificados dos dispositivos podem solicitar certificados de maneira independente do Gerenciador de Configurações e fornecer valores para a Entidade do certificado que podem ser usados para representar outro usuário ou dispositivo.
Além disso, se você especificar que as contas não podem ser autenticadas no momento da solicitação do certificado, a solicitação falhará por padrão. Por exemplo, a solicitação de certificado falhará se o servidor que estiver executando o Serviço de Registro de Dispositivo de Rede estiver em uma floresta do Active Directory não confiável para a floresta que contém o servidor do sistema de site do ponto de registro de certificado. Você poderá configurar o ponto de registro de certificado para continuar se não for possível autenticar uma conta porque não há resposta de um controlador de domínio. No entanto, essa não é uma prática recomendada de segurança.
Observe que, se o ponto de registro de certificado estiver configurado para verificar permissões de conta e um controlador de domínio estiver disponível e rejeitar a solicitação de autenticação (por exemplo, a conta está bloqueada ou foi excluída), ocorrerá falha na solicitação de registro de certificado.
Para verificar as permissões de Leitura e Registro dos usuários e dos computadores membros do domínio
-
No servidor do sistema de sites que hospeda o ponto de registro de certificado, crie a seguinte chave do Registro DWORD para que ela tenha o valor de 0: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SCCM\CRP\SkipTemplateCheck
-
Se não for possível autenticar uma conta porque não há resposta de um controlador de domínio, e você desejar ignorar a verificação de permissão:
- No servidor do sistema de sites que hospeda o ponto de registro de certificado, crie a seguinte chave do Registro DWORD para que ela tenha o valor de 1: HKEY\_LOCAL\_MACHINE\\SOFTWARE\\Microsoft\\SCCM\\CRP\\SkipTemplateCheckOnlyIfAccountAccessDenied -
Na autoridade de certificação emissora, na guia Segurança, nas propriedades do modelo de certificado, adicione um ou mais grupos de segurança para conceder permissões de Leitura e Registro às contas de usuário ou dispositivo.